Уязвимости бесплатного трекера ZTDS [0.8.4]

Доброго времени суток дорогие читатели, на связи RDCLUB. И мы с довольно интересной статьей об уязвимости бесплатного трекера ZTDS [0..-0.8.4]. В статье мы опишем как могут украсть ваши источники трафика, а так же сбить настройки ваших групп и потоков в трекере.

И так небольшая предыстория, мы с командой тестировали новый источник под УБТ траф, и заметили «конкурента», который отливал трафик на монету. Мы решили проверить его домен и заметили, что у парня стоит ZTDS (бьются 403 ошибки в папках files,ini,database а так же был файл install.php и admin.php).

По admin.php заметили что версия трекера 0.8.4, решили проверить стандартный пароль (вдруг повезет), но он конечно же не подошел, дальше решили поглядеть источники трафика, откуда он льет. Так как путевого в индексации и сканерах мы не заметили по его доменам, решили проверить ZTDS на наличие дырок и возможности просмотра его статистики по переходам, либо доступа к конфигам. И тут началось…

Сброс конфигов

Первый момент который мы заметили, это возможность сброса (перезаписи) конфигов потоков (файлов ini/*.ini):

А именно путем POST запроса на «site.nn/files/reorder.php?g= тут ID потока с параметрами sid[] = Пустота». Как мы их нашли опишем ниже.

И заголовками запроса: HTTP_X_REQUESTED_WITH: XMLHttpRequest (без него у вас будет 403). Тем самым, конфиг перезапишет свои значения на стандартные.

Помимо этого, по тому же запросу, но уже с неверным id потока, вы создаете новый файл .ini с заданным названием пример: запрос с параметром g=Для-Статьи, даст нам примерно следующий результат на сервере трекера:

Данные о переходах из трекера

Но это не самое интересное, так как переходим к самому сочному. Мы обратили внимание на файл sslog.php, а именно этот файл работает с БД, в котором хранится информация о переходах по ссылкам. В него передается множество параметров, но нам потребуется лишь 1, а именно, параметр: «q». В нем передается сериализованные параметры в последствии зашифрованные в Base64.

Выглядит это дело примерно так:

Путем php производим следующую манипуляцию:

В нашем случае мы заменяем параметр q_group на id группы, а параметр q_stream на ;#. Так же нужно заменить timestamp на дату, которую собираемся получить из записей. Далее производим GET запрос по адресу site.nn/files/sslog.php?q=тут наш зашифрованный base64. И заголовками запроса: HTTP_X_REQUESTED_WITH: XMLHttpRequest (без него у вас будет 403).

На выходе мы получим примерно следующее:

А именно все записи о переходах по запрошенный группе из БД трекера, в котором указывается информация по посетителю, в том числе его реферер по которому можно понять источник трафика самого арбитражника, а так же оффер на который он льет этот самый трафик.

Заключение

Таким образом мы имеем следующее: у любого пользователя есть возможность сбросить настройки конфигов, а так же получить доступ (без авторизации) к записям о переходах по группам трекера.

Теперь о том как мы нашли id группы, тут все просто. Сама ссылка, которая используется для перехода по типу site.nn/[name].

[name] — является тем самым id группы, остальные id можно получить методом поиска домена в гугл или яндексе, там будут сервисы в которых он сканировался и можно найти все редиректы от куда на него переходили.

От себя хотим сказать, ZTDS сам по себе хороший трекер, тем более бесплатный, но все же будьте осторожны при его использовании, так как в принципе любой пользователь зная данные нюансы может воспользоваться данной уязвимостью и получить информацию о ваших источниках/офферах.

На этом у нас все, на связи была команда RDCLUB, желаем удачи и хорошего конверта! Наш канал в Telegram: https://t.me/rdclub_arb